Neufassung des ISO/IEC 27001:2022 bedingt Änderungen für die Informationssicherheit von Unternehmen

Über diesen Artikel

Erschienen am:

31.10.2022

Kategorie:

Blog
IT

Über den Autor

Jasmin Vahidi
Wirtschaftsprüferin, Certified Information Systems Auditor (CISA), Certified in Risk and Information Systems Control (CRISC), Certified Data Privacy Solutions Engineer (CDPSE) in Duisburg

Schifferstraße 210
47059 Duisburg
Telefon: +49 203 30001 - 488
E-Mail: jasmin.vahidi@pkf-fasselt.de

vCard download

Nach der erstmaligen Veröffentlichung im Jahr 2005 und einer Überarbeitung im Jahr 2013 ist am 25. Oktober 2022 die neueste Version des ISO/IEC 27001 publiziert worden. Der ISO/IEC 27001:2022 setzt, wie seine Vorgänger, den Standard für das Informationssicherheits-Managementsystem (ISMS). Ziel eines ISMS ist es, insbesondere die Informationssicherheit des Unternehmens (unabhängig von der Größe und Branche) in Bezug auf Risiken der drei Schutzziele der Informationssicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) zu beurteilen und kontinuierlich zu verbessern. Neueste Technologien, sich ändernde Bedingungen und Einflüsse auf die Informationssicherheit weisen gezielt neue Schwachstellen auf, welche zu Risiken führen, die es zu mitigieren gilt.

Die vorgenommenen Neuerungen in ISO/IEC 27001:2022 betreffen als wesentliche Kernpunkte vor allem:

Änderungen in Anhang A:
- Statt 114 Maßnahmen sind in der neuen Fassung 93 Maßnahmen enthalten. Diese Anpassung kommt durch das Zusammenfassen mehrerer Maßnahmen zustande. Weiterhin wurden elf neue Maßnahmen eingeführt:
  - Bedrohungsintelligenz
  - Physische Sicherheitsüberwachung
  - Datenmaskierung
  - Informationssicherheit für die Nutzung von Cloud-Diensten
  - Überwachung von Aktivitäten
  - IKT-Bereitschaft für Business Continuity
  - Verhinderung von Datenlecks
  - Konfigurationsmanagement
  - Webfilterung
  - Löschung von Informationen
  - Sicheres Coding
- Um eine größere Übersichtlichkeit und effektivere Steuerung zu gewährleisten sind die Maßnahmen des ISO/IEC 27001:2022 in vier statt vierzehn Kategorien eingeteilt. Die Kategorien sind:
  - Kategorie «Menschen»; 8 Maßnahmen
  - Kategorie «Physisch»; 14 Maßnahmen
  - Kategorie «Technologie»; 34 Maßnahmen
  - Kategorie «Organisation»; 37 Maßnahmen
- Jede Maßnahme ist nach einer einheitlichen Struktur aufgebaut und kann anhand der folgenden fünf Attributen bewertet werden:
  - Maßnahmenart
  - Informationssicherheitseigenschaft
  - Cybersicherheitskonzepte
  - Betriebsfähigkeit
  - Sicherheitsdomänen
    
    Diese Attribute ermöglichen eine unternehmensindividuelle Gruppierung nach Themen oder Perspektiven.
Der grundsätzliche Aufbau des ISO/IEC 27001:2022 ist auf die Harmonized Structure umgestellt worden. Damit geht eine stärkere Orientierung an Prozessen und ihren Wechselwirkungen sowie Kriterien zu deren Steuerung einher.

Sollte Ihr Unternehmen bereits nach ISO 27001:2013 zertifiziert sein wird ein Zeitraum von 36 Monaten zur Umstellung eingeräumt. Die Umstellung auf ISO 27001:2022 muss ergo bis Oktober 2025 abgeschlossen sein, um Ihre Gültigkeit zu wahren.

Zurück zur Übersicht

Zurück zum Seitenanfang

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
__cf_bm	Identifiziert und bekämpft automatisierten Traffic.	30 Minuten	HTTP	MyFonts/Cloudflare
TiJoboffers_selectedFilters	speichert ausgewählte Filteroptionen	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_ga	Wird verwendet, um Benutzer zu unterscheiden.	2 Jahre	HTML	Google
_gat	Wird zum Drosseln der Anfragerate verwendet.	1 Tag	HTML	Google
_gid	Wird verwendet, um Benutzer zu unterscheiden.	1 Tag	HTML	Google
_ga_--container-id--	Speichert den aktuellen Sessionstatus.	2 Jahre	HTML	Google
_gac_--property-id--	Enthält Informationen zu Kampagnen für den Benutzer. Wenn Sie Ihr Google Analytics- und Ihr Google Ads Konto verknüpft haben, werden Elemente zur Effizienzmessung dieses Cookie lesen, sofern Sie dies nicht deaktivieren.	3 Monate	HTML	Google